3. Anwendungsschwerpunkt (Embedded OT/IT Gateway) ...

[kdw]

Hallo Forum.

Zum eDNP/8331 steht ein vollständiges OT/IT-Gateway in Form von aufeinander abgestimmten Hardware- und Softwarekomponenten zur Verfügung. Dazu gehören die Gerber-Daten, Stückliste (BOM), Pick-und-Place-Daten (CPL) sowie Software-seitig der Boot Loader, das Debian-Linux-Betriebssystem mit zwei Ethernet-LAN-Treibern und die Firmware mit einer netfilter.org-basierten Firewall.



Neben der Hardware und Software existiert des Weiteren ein Workflow für den Praxiseinsatz eines eDNP/8331-basierten OT/IT-Netzwerk-Gateway. Dazu gehört eine Bedrohungsanalyse, die sich an der IEC 62443-4-1 orientiert. Dabei wird für eine Ende-zu-Ende-Kommunikationsbeziehung der Datenfluss mit den Vertrauensgrenzen, Prozessen und Datenspeicherfunktionen visualisiert. Damit lassen sich mögliche Angriffsvektoren identifizieren und mit Hilfe des Common Vulnerability Scoring System (CVSS) bewerten. Abschließend wird für jede relevante Bedrohung eine geeignete Gegenmaßnahme ausgewählt bis hin zur aktiven Angriffserkennung (Intrusion Detection) innerhalb des OT-Netzwerks.

VG KDW

[kdw]

Hallo Forum.

Wir konzentrieren uns bei den OT/IT-Integrationen mit dem eDNP/8331 zurzeit in erster Linie auf die Cybersecurity. Auf Grund der verschiedenen neuen EU-Vorgaben, wie z. B. NIS2 (EU-Direktive 2022/2555) und dem damit verbundenen Zeitrahmen zur Umsetzung, sind Security-Themen sowohl für Maschinen- und Anlagenbetreiber als auch Maschinenbauer eine große Herausforderung. Die OT/IT-Connectivity selbst ist im Vergleich mit dem dynamischen Security-Umfeld relativ statisch.



Bedingt durch umfangreiche Security-Anforderungen, die an einem OT/IT-Knotenpunkt zu erfüllen sind, spielen besonders das eDNP/8331-Debian-Betriebssystem und die von uns eingebauten Open-Source-Erweiterungen eine wichtige Rolle. Für die gesamte OT/IT-Gateway-Softwarekonfiguration können wir mittlerweile auch eine SBOM (Software Bill of Materials = Softwarestückliste) liefern.

Ein erstes Projekt wurde bereits in die Praxis umgesetzt. Dabei geht es um eine Layer4-Firewall-Anwendung, um die Zugriffe einer IT-Anwendung auf eine OT Device entsprechend abzusichern. Dafür wurde ein Proxy-Firewall-Konzept mit netfilter/iptables sowie einem TCP-Proxyserver umgesetzt.

Siehe hierzu auch: https://www.ssv-embedded.de/doks/manuals/sr_igw936a_en.pdf.

VG KDW

[kdw]

Hallo Forum.

Wir konnten zu diesem Thema durch unsere zahlreichen Projekte ja schon viele Jahre praktische Erfahrungen sammeln und unsere Methoden entsprechend weiterentwickeln. Daher differenzieren wir mittlerweile die eigentliche Verbindung zwischen einer IT- und der OT-Anwendung in drei unterschiedliche Kategorien (siehe die hier folgenden Abbildungen). Dabei gehen wir immer von der Grundannahme aus, dass die IT-Anwendung eines Netzwerk- und IT-Systembetreibers mit der OT-Anwendung einer Maschine oder Anlage kommunizieren soll. Des Weiteren setzen wir voraus, dass ein an die jeweilige Aufgabenstellung angepasster „Connection Process“ bereits existiert oder noch entwickelt werden muss. Dieser Prozess liefert die erforderliche Connectivity und Cybersecurity. Er wurde bzw. wird vom Betreiber in das firmeninterne Risikomanagement eingebunden.



Abbildung 1: Direkte Netzwerk-zu-Netzwerk-Verbindung. Eine OT-Anwendung läuft zusammen mit weiteren Softwarefunktionen innerhalb eines separierten OT-Netzwerks. Die IT-Anwendung kann über eine dafür vorgesehene Verbindungsschnittstelle (Connection Process) zwischen beiden Netzwerken auf die OT-Anwendung zugreifen. In Ausnahmefällen ist es für die OT-Applikation sogar möglich, über das IT-Netzwerk eine Verbindung ins Internet aufbauen (z. B. um eine Fernwartung für OT-Baugruppen zu realisieren – das ist allerdings ein sicherheitskritischer Vorgang, der sich nur sehr schwer kontrollieren lässt).



Abbildung 2: Direkte Maschine-in-Netzwerk-Verbindung. Eine einzelne Maschine und somit eine OT-Anwendung dieser Maschine sind über die dafür vorgesehene Verbindungsschnittstelle (Connection Process) direkt in das IT-Netzwerk eingebunden und daher wie jeder andere Service innerhalb des IT-Netzwerk für eine IT-Anwendung nutzbar. In Abhängigkeit von den Einstellungen des zuständigen IT-Administrators kann der Maschine auch der Internetzugriff gestattet werden, damit beispielsweise für eine Predictive-Maintenance- oder Condition-Monitoring-Applikation eines Servicepartner die gewünschte Fernzugriffsmöglichkeit existiert.



Abbildung 3: Indirekte Maschine-an-Netzwerk-Verbindung. Die Maschine wurde bereits mit einem integriertem Mobilfunkmodem o. ä. geliefert und verbindet sich nach eigenem Ermessen per Wireless Wide Area Network (WWAN) mit einer Cloud bzw. einem Cloud-Service. Die IT-Anwendung des Maschinen- bzw. IT-Netzwerkbetreibers hat per Internet ebenfalls Zugriff auf diese Cloud, um beispielsweise (indirekt) mit der Maschinen-OT-Anwendung zu kommunizieren. Der Betreiber kann in diesem Fall lediglich die Verbindung zwischen der IT-Anwendung und einer Cloud kontrollieren. Die OT-Verbindungsschnittstelle (Connection Process) zur Cloud wird in der Regel vom OT-Anwendungsanbieter verwaltet (z. B. Maschinenhersteller, IoT-Servicepartner).

Bevor wir für eines der drei hier dargestellten OT/IT-Anwendungsszenarien passende Connectivity- und Security-Funktionsbausteine entwickeln, erfolgt zunächst eine individuelle Analyse der Sicherheitsrisiken für die Kommunikation zwischen der OT- und IT-Anwendung. Dabei werden beide Softwarekomponenten und der Kommunikationskanal mit Hilfe des STRIDE-Modells bewertet. Eine solche STRIDE-Analyse umfasst die Detailbetrachtung von fünf verschiedenen Bedrohungen, um anschließend geeignet Gegenmaßnahmen zur Reduzierung der Angriffsfläche für die jeweilige Anwendung zu entwickeln.



VG KDW

[kdw]

Hallo Forum.

Hin und wieder kommt die Frage auf, wie man ein SSV-Gateway möglichst „BSI-konform“ für Fernwartungsaufgaben einsetzen kann, um z. B. gesetzliche Cybersicherheitsvorgaben sowie Normen zu erfüllen.

Um diese Fragestellung zu beantworten, muss man zunächst einmal bestimmen, was genau mit „BSI-konform“ gemeint ist. Hierfür eignet sich das BSI-Dokument „IND 3.2 Fernwartung im industriellen Umfeld.“ Dort findet man drei Anforderungsgruppen (Basis, Standard und erhöhter Schutzbedarf). Siehe

https://www.ssv-embedded.de/doks/infos/IND_3_2_Fernwartung_im_industriellen_Umfeld_Edition_2022.pdf.

Wir setzen uns bei SSV aktuell mit diesem Dokument auseinander. Weitere Erkenntnisse dazu folgenden an dieser Stelle.

VG KDW